Daftar antarmuka muncul di MikroTik RouterOS untuk waktu yang lama, tetapi dengan pengamatan, tidak semua orang tahu tentang mereka dan karena itu tidak menggunakannya.
Deskripsi
Apa ini jelas dari namanya - Daftar Antarmuka, sama dengan daftar alamat, hanya dengan antarmuka. Jangan bingung dengan jembatan dan antarmuka yang membatasi, ini adalah tiga teknologi berbeda untuk tugas yang berbeda. Fungsionalitas ini muncul sekitar setahun yang lalu dan hadir dalam semua rilis terbaru (saat ini dan bugfix) dari RouterOS 6.
Hal utama yang perlu diingat: Antarmuka dalam daftar terus independen, lalu lintas tidak akan mulai melalui mereka (seperti dalam kasus jembatan) dan tidak akan diparalelkan (seperti dalam kasus pembatas), itu lucu untuk Anda, tetapi ada orang-orang pintar.
Daftar Standar
[Antarmuka] -> [Daftar Antarmuka] -> [Daftar]
Secara default, ada tiga daftar: semua, tidak ada, dinamis. Dengan dua yang pertama, semuanya jelas, dinamis saat ini dihuni dari koneksi ppp tertentu dan Mendeteksi Internet.
Opsi konsol:
/interface list print
Buat daftar Anda[Antarmuka] -> [Daftar Antarmuka] -> [Daftar] -> [+]
nama - nama
termasuk - sertakan antarmuka dari daftar yang ditentukan dalam daftar baru
exclude - mengecualikan antarmuka dari daftar yang ditentukan dari daftar baru
Opsi konsol:
/interface list add name=test
Sertakan contohAntarmuka berikut tersedia untuk mengakses Internet:
ether1-wan (ip asli)
ether2-wan (ip asli)
l2tp-vpn1 (ip abu-abu)
l2tp-vpn2 (ip abu-abu)
Dari dua yang pertama, kami mengharapkan koneksi masuk dari luar, dari yang kedua, jika ada, maka kami tidak tertarik.
Antarmuka ether1-wan dan ether2-wan digabungkan ke dalam daftar wan. Garis hijau.
Antarmuka l2tp-vpn1 dan l2tp-vpn2 digabungkan ke dalam daftar vpn. Garis merah.
Daftar inet berisi (termasuk) wan dan vpn. Garis hitam.
Sekarang di firewall Anda dapat memisahkan lalu lintas masuk (dan melewati dari sisi wan / vpn) dengan wan dan vpn dan menulis aturan terpisah, dan keluar (dan lewat ke sisi wan / vpn) bersama-sama (kemungkinan besar akan menjadi dangkal didirikan, baru) melalui inet .
Contohnya canggung, tetapi saya tidak punya yang lain.
Menambahkan Antarmuka
Anda dapat menambahkan antarmuka apa pun: ethernet, wlan, bridge, vlan, vpn, vif, ... Semuanya dilakukan dari menu utama [Daftar Antarmuka].
Opsi konsol:
/interface list member add interface=ether1 list=test
Penggunaan dalam filter firewall
Aplikasi utama adalah untuk menyederhanakan aturan firewall, katakanlah Anda memiliki hub vpn dan Anda perlu mengkonfigurasi aturan untuk lalu lintas yang lalu lalang, tetapi buat sejelas mungkin.
Sebelum:
Periksa di-antarmuka, kirim ke chain-1.
Di rantai-1, periksa antarmuka, kirim ke rantai-2.
Di rantai-2, kami membuat aturan.
Dan untuk setiap antarmuka. 4 koneksi - 8 aturan, 8 koneksi - 16 aturan. Apakah koneksinya dinamis? Anda dapat keluar dan menggunakan semua ppp, membuangnya ke rantai-1, dan kemudian kembali 'Anda perlu antarmuka tambahan dari rantai-1.
Sekarang:
Kami menambahkan semua antarmuka ke satu daftar dan membuat satu aturan dengan daftar di-antarmuka-dan-antarmuka-yang sama, yang mentransfer ke rantai dengan aturan penyaringan. Itu menjadi lebih pendek.
Ada minus dalam skema ini, jika Anda melihat "sebelumnya", maka untuk setiap antarmuka subnet dari alamat yang diharapkan pada antarmuka terdaftar, dalam skema baru Anda dapat mengarahkan semua antarmuka ke daftar alamat, tetapi alamat subnet tidak akan lagi terhubung dengan jelas ke antarmuka.Contoh lain adalah Anda memiliki beberapa penyedia dan Anda terlalu malas untuk menduplikasi aturan untuk masing-masing:
Penggunaan di firewall nat
Ketika daftar antarmuka baru saja muncul, di forum mikrotik mengeluh tentang pekerjaan daftar antarmuka di nat, sekarang tampaknya telah diperbaiki. Saya memutuskan untuk menyelidiki
Test stand:
Skema tidak memiliki alamat yang cukup untuk hal yang samaHasil:
Rantai src-nat:
* menyamar - bekerja. Bergantung pada antarmuka output, gantikan ip yang sesuai.
* src-nat - berfungsi. Mengganti ip yang ditentukan hanya untuk antarmuka di mana ip ini hadir.
* sama - bekerja. Demikian pula dengan src-nat.
Rantai dst-nat:
* redirect - berfungsi.
* dst-nat - berfungsi. Termasuk dalam kombinasi dengan topeng.
* netmap - berfungsi. Jika Anda menggunakannya, bukan dst-nat. Ketika digunakan sebagaimana dimaksud, itu juga berfungsi.
Penggunaan dalam firewall mangle
Itu bekerja. Misalnya, jika Anda perlu menandai semua lalu lintas masuk dari antarmuka untuk pohon antrian.
Penggunaan dalam profil vpn
Kami ingat contoh dengan vpn regional. Wilayah kelima telah ditambahkan dan Anda menambahkannya dengan tangan ke daftar antarmuka, tetapi Anda dapat melakukannya dengan lebih mudah dan tentukan dalam profil vpn yang daftar antarmuka akan ditempatkan pada koneksi, terlepas dari apakah itu mengikat atau dibuat secara otomatis ketika klien memutus antarmuka dari daftar dihapus. Untuk vpn keluar, ini juga berfungsi.
[PPP] -> [Profil]
Semuanya baik-baik saja, tetapi ada bug (pada saat publikasi, versi RoS 6.42.6). Jika Anda membuat penjilidan dan menambahkannya secara statis ke daftar yang ditentukan dalam profil, maka koneksi tidak akan dibuat. Dalam log (server) akan ada sesuatu seperti ini:
Penggunaan di jembatan
Anda dapat menentukan daftar antarmuka sebagai anggota jembatan, tetapi hanya antarmuka yang dapat bekerja pada Layer 2 (ethernet, wlan, bounding, eoip, ovpn-ethernet, ...) akan ditambahkan, kecuali jembatan lain.
Deteksi internet
Fungsionalitas muncul dalam versi firmware saat ini dan belum siap untuk digunakan.
[Antarmuka] -> [Deteksi Intrnet]
* Mendeteksi Daftar Antarmuka - daftar dengan antarmuka tempat pemeriksaan akan dilakukan.
* LAN Interface List - daftar di mana semua antarmuka layer2 aktif ditambahkan. Dapatkan status lan.
* Daftar Antarmuka WAN - daftar semua terowongan lte dan vpn ditambahkan. Juga antarmuka dengan status lan yang tidak memiliki server dhcp dan dari mana alamat 8.8.8.8 tersedia. Selain semuanya, mikrotik akan menambahkan klien dhcp ke antarmuka dalam upaya untuk mendapatkan pengaturan secara otomatis.
* Daftar Antarmuka Internet - daftar antarmuka dengan status berkurang, jika cloud.mikrotik.com opin0000 tersedia dari mereka. Memeriksa ulang setiap menit, setelah 3 upaya yang gagal, antarmuka kembali ke status berkurang. Ubah alamat verifikasi, atau interval tidak bisa.
[Status Antarmuka] - hasil pengujian.
Ini adalah cara kerjanya, tetapi dalam praktiknya, permintaan untuk cloud.mikrotik.com tidak terkirim. Kami menunggu dan berharap bahwa: mereka akan memperbaikinya; menghapus batasan; tambahkan kemampuan untuk mengeksekusi skrip saat mengubah keadaan antarmuka.
Lainnya
Di cabang saat ini, MikroTik memutuskan bahwa ada baiknya menggunakan Daftar Antarmuka lebih aktif dan sekarang opsi berikut ini dikonfigurasi melalui daftar antarmuka, bukan antarmuka tertentu:
* [IP] -> [Tetangga] -> [Pengaturan Penemuan]
* [Alat] -> [MAC-Server] -> [Mac-Telnet Server] & [Mac-Winbox Server]
Setelah upgrade, jangan lupa untuk mengkonfigurasi ulang.
Script dan cli
Anda mungkin menghadapi situasi ketika salah satu antarmuka dalam daftar menjadi tidak diketahui (jika Anda menghapus antarmuka sebelum menghapusnya dari daftar) dan saya secara pribadi belum dapat menemukan cara untuk secara sederhana (tanpa menghapus seluruh daftar dan mengisi berlebihan) menghapus antarmuka seperti itu menggunakan cli dan skrip. Jika ada yang tahu - tulis di komentar.
Itu saja. Saya berharap bahwa di dunia akan ada lebih sedikit konfigurasi dengan penyatuan antarmuka di jembatan untuk mengurangi aturan di firewall.